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© Verfahren zur gegenseitigen Authentifikation einer Chipkarte und eines Terminals. 



© Das angegebene Verfahren erganzt die 
Challenge- and Response-Methode zur gegenseiti- 
gen Authentifikation einer Chipkarte (CHK) und eines 
Terminals (T). Mit Hilfe von Identitatskenngrofien 
(ID) fur das Terminal (T), die laufende Anwendung 
und das im Terminal (T) befindliche Sicherheitsmo- 
dul, einer Verschlusselungsfunktion (FCY.FTY) und 
des chipkartenspezifischen Schlussels (KC1.KT1) 
wird vor Authentitatsprufung des Terminals (T) ein 
terminalspezifischer Schlussel (KC2 t KT2) berechnet. 
Die IdentitatskenngroBen (ID) werden nach erfolrei- 
chem AbschluB der Authentizitatsprufung optisch 
und/oder akustisch dem Chipkartenbenutzer mitge- 
teilt. 
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Die Erfindung betrifft ein Verfahren zur gegen- 
seitigen Authentication einer Chipkarte und eines 
Terminals nach der Challenge- and Response-Me- 
thode. Ublicherweise authentifiziert sich zunachst 
die Chipkarte gegenuber dem Terminal. Die Chip- 
karte ubertragt ihre Chipkartenidentitatsnummer 
zum Terminal. Dieses berechnet aus der Chipkarte- 
nidentitatsnummer einen ersten Terminafschlussel, 
der bei Verwendung symmetrischer Verschlussel- 
ungsalgorithmen mit einem ersten in der Chipkarte 
gespeicherten Chipkartenschlussel identisch ist. 
Nun generiert das Terminal eine erste Zufallszahl, 
ubertragt sie zur Chipkarte und das Terminal ver- 
schltisselt die erste Zufallszahl ebenso wie die 
Chipkarte. Als Verschlusseiungsergebnis liegt so 
wohl in der Chipkarte als auch im Terminal ein 
erster Anerkennungsparameter vor. Diese beiden 
Anerkennungsparameter werden im Terminal ver- 
glichen. Bei positivem Vergleichsergebnis ist die 
Chipkarte authentisch. 

Zur Authentifikation des Terminals gegenuber 
der Chipkarte findet der oben beschriebene Vor- 
gang mit vertauschten Rollen start. Der bereits bei- 
den Partnern bekannte erste Schlussel wird zur 
beiderseitigen Verschlusselung einer von der Chip- 
karte generierten Zufallszahl verwendet. Die dabei 
entstehenden zweiten Anerkennungsparameter 
werden in der Chipkarte verglichen. Bei positivem 
Vergleichsergebnis ist auch das Terminal authen- 
tisch. 

Die Chipkarte erhalt damit zwar GewiBheit dar- 
uber, ob das Terminal, mit dem sie verbunden ist, 
authentisch ist. Die Chipkarte erhalt aber keine 
Kenntnis daruber, um welches von vielen mdgli- 
chen Terminals es sich handelt. Dieses Informa- 
tionsdefizit konnte zwar zum Beispiel durch das 
Ubertragen einer Terminalnummer zur Chipkarte 
beseitigt werden, jedoch kann eine solche Informa- 
tionsubertragung zu Sicherheitdefiziten, z.B. durch 
Offenbarung der IdentitatskenngroBe an Dritte, fuh- 
ren. Der Benutzer der Chipkarte kann sich von der 
Authentizitat des Terminals nicht selbst uberzeu- 
gen, denn der Benutzer erhalt entweder keine oder 
nur eine subjektive Information daruber, daB die 
Authentizitatsprufung erfolgreich verlaufen ist. 

Die der vorliegenden Erfindung zugrundelie- 
gende Aufgabe ist es, eine sichere Identifikation 
aller sicherheitsrelevanten Elemente eines Termi- 
nals gegenuber einer Chipkarte zu ermdglichen 
und daruberhinaus dem Benutzer der Chipkarte die 
Moglichkeit zu geben, sich objektiv von der Au- 
thentizitat des Terminals zu uberzeugen. 

Diese Aufgabe wird erfindungsgemaB durch 
die im Patentanspruch 1 angegebenen Merkmale 
gelost. 

GemaB dem im Patentansprucr 1 angegebenen 
Verfahren wird die bzw. werden die Identitatskenn- 
groBen, die dem Terminal T zugeordnet sind, in 



den gegenseitigen AuthentifikationsprozeB gemaB 
der Challenge- and Response-Methode mit einbe- 
zogen. Es wird nicht nur ein chipkartenspezifischer 
Schlussel verwendet, sondern dieser chipkarten- 

5 spezifische Schlussel wird zur Generierung eines 
zweiten terminal- und chipkartenspezifischen 
Schlussels verwendet. Damit ist eine eindeutige 
und sichere Identifikation inklusive einer Authentifi- 
kation aller Elemente des Terminals gewahrleistet, 

io deren KenngroBen Bestandteil der zur Chipkarte 
ubertragenen IdentitatskenngroBe sind. 

Bei Ubereinstimmen der ersten und der zwei- 
ten Anerkennungsparameter werden die dem Ter- 
minal zugeordneten IdentitatskenngroBen und/oder 

75 eine diese IdentitatskenngroBen reprasentierende 
Information optisch und/oder akustisch angezeigt. 
Diese Anzeige erfolgt auf einer Anzeigeeinheit. Die- 
se Anzeigeeinheit kann ein Lautsprecher, eine 
Flussigkristallanzeige oder ahnliches sein. 

20 Durch eine solche Anzeige kann sich der Chip- 

kartenbenutzer selbst davon uberzeugen, daB das 
Terminal weder manipuliert noch simuliert ist. Er- 
leichtert wird dies dem Benutzer dann, wenn die 
die IdentitatskenngroBen reprasentierende Informa- 

25 tion ein Wort ist, das eindeutig der oder den Identi- 
tatskenngroBen zugeordnet ist. Die Vertrauenswur- 
digkeit des Terminals wird durch die Anzeige fur 
den Chipkartenbenutzer nachgewiesen. 

GemaB einer weiteren Weiterbildung der Erfin- 

30 dung muB das angezeigte Ergebnis quittiert wer- 
den. Diese Quittierung erfolgt beispielsweise durch 
einen Tastendruck oder durch Ablaut einer hinrei- 
chend langen Zeit. 

GemaB einer Ausgestaltung und Weiterbildung 

35 der Erfindung ist im Terminal ein Sicherheitsmodul 
integriert, dessen Sicher- 

heitsidentitatskenngroBegemeinsam mit einer Ter- 
minalidentitatskenngroBe zur Chipkarte ubertragen 
wird. Diese beiden IdentitatskenngroBen bilden die 

40 dem Terminal zugeordnete IdentitatskenngroBe. 
Die Chipkarte erhalt damit auch eine gesicherte 
und authentische Information daruber, welches Si- 
cherheitsmodul aktuell im Terminal integriert ist. 
GemaB einer weiteren Weiterbildung der Erfin- 

45 dung wird gemeinsam mit der dem Terminal zuge- 
ordneten IdentitatskenngroBe eine Anwendungs- 
identitatksenngrdBe zur Chipkarte ubertragen. Die 
IdentitatskenngroBe wird also um eine Anwen- 
dungsidentitatskenngrdBe erweitert. Damit ist es 

so der Chipkarte auch mdglich, die im Terminal lau- 
fende Anwendung im Zusammenhang mit der 
Chipkarte eindeutig zu identifizieren und deren Au- 
thentizitat zu uberprufen. 

GemaB einer weiteren Weiterbildung und Aus- 

55 gestaltung der Erfindung wird vom Zeitpunkt der 
Ubertragung bzw. der Eingabe einer Personen- 
kennzahl aus bzw. in das Terminal jegliche Anzeige 
auf Seiten des Terminals verhindert. Diese Verhin- 



BEST AVAILABLE COPY 



irv cCd 



3 



EP 0 552 392 A1 



4 



derung jeglicher Anzeige wird erst nach Anzeige 
der IdentitatskenngroBen und/oder der diese Identi- 
tatskenngroBen reprasentierenden Information wie- 
der aufgehoben. Damit kann also von Seiten des 
Terminals bis zur Feslstellung der Authentizitat 
durch die Chipkarte die Anzeigeeinheit des Termi- 
nals nicht aktiviert werden. Eine Anzeige manipu- 
lierter Informationen ist somit wirksam verhindert 

GemaB einer weiteren Ausgestaltung und Wei- 
terbildung der Erfindung werden die zwischen 
Chipkarte und Terminal auszutauschenden Daten 
uber ein zwischen Chipkarte und Terminal ange- 
ordnetes Chipkartenterminal geleitet. Die dem Ter- 
minal zugeordneten IdentitatskenngroBen und/oder 
eine diese IdentitatskenngroBen reprasentierende 
Information wird mit Hilfe der auf dem Chipkarten- 
terminal angeordneten Anzeigeeinheit angezeigt. 
Diese Anzeige wird durch eine benutzerseitige Be- 
tatigung der auf dem Chipkartenterminal angeord- 
neten Tastatur quittiert. Durch diese Ausgestaltung 
und Weiterbildung der Erfindung wird auf Grund 
der raumlichen Trennung von Chipkartenterminal 
und Terminal ein zusatzlicher Schutz vor einer 
Manipulation der Anzeigeeinheit des Terminals er- 
reicht. Das Chipkartenterminal kann zusatzlich von 
der Chipkarte aufgefordert werden sich unabhangig 
vom Terminal selbst gegenuber der Chipkarte zu 
authentisieren. Durch diese zusatzliche Moglichkeit 
wird deutlich, da/3 das Chipkartenterminal sicher- 
heitstechnisch gesehen der Chipkarte zugeordnet 
ist. Das Chipkartenterminal wirkt dabei vor allem 
als vertrauenswurdige Schnittstelle zwischen Chip- 
karte und Chipkartenbenutzer. Die gleiche Vertrau- 
enswurdigkeit ist bei einer Integration der Funktio- 
nen des Chipkartenterminals im Terminal nur mit 
groflem Aufwand erreichbar. 

Gemafi einer weiteren Weiterbildung und Aus- 
gestaltung der Erfindung wird vor jeder gegenseiti- 
gen Authentifikation der Chipkarte und des Termi- 
nals eine Uberprufung der eingegebenen Perso- 
nenkennzahl durchgefuhrt. Damit ist gewahrleistet, 
dafl eine Anzeige an der Anzeigeeinheit wahrend 
des Verfahrens zur gegenseitigen Authentifikation 
von Chipkarte und Terminal stets verhindert ist, 
auch wenn die Chipkarte fur mehrere verschiedene 
Anwendungen geeignet ist. Daraus folgt zwar, dafi 
eine globale Prufung der Personenkennzahl fur 
mehrere Anwendungen nicht mdglich ist. Dieser 
Nachteil wird aber durch den Gewinn an Sicherheit 
mehr als aufgewogen. 

Weitere vorteilhafte Ausgestaltungen und Wei- 
terbildungen sind in weiteren Unteranspruchen an- 
gegeben. Im folgenden wir die Erfindung anhand 
der Zeichnung naher erlautert. Dabei zeigen: 

FIG 1 das erfindungsgernafle Ablaufdia- 
gramm gemafi der Challenge- and 
Response-Methode, 

FIG 2 eine schematisch dargestellte Anord- 



nung einer Chipkarte, eines Chipkar- 
tenterminals und eines Zentralrech- 
ners, und 

FIG 3 eine Anordnung gemafi FIG 2, bei der 
5 das Chipkartenterminal mil einer 

Rechnerstation in einem Terminal inte- 
griert ist. 

Im folgenden Ausfuhrungsbeispiel wird das er- 
findungsgemafle Verfahren, wie es in Figur 1 dar- 

10 gesteilt ist, beschrieben. Als Kommunrkationspart- 
ner werden dabei ein Terminal T und eine Chipkar- 
te CHK verwendet. Das Terminal T umfafit dabei 
samtliche Einheiten auBerhalb der Chipkarte CHK. 
Solche Einheiten sind beispielsweise ein Chipkar- 

75 tenterminal CKT, ein Zentralrechner HOST, eine 
Rechnerstation CPU, und Leitungssysteme L. 

Das Chipkartenterminal CKT bildet die Schnitt- 
stelle sowohl zwischen Chipkarte CHK und Zentral- 
rechner HOST als auch zwischen Chipkarte CHK 

20 und Chipkartenbenutzer. Im Chipkartenterminal 
CKT sind eine Anzeigeeinheit DISP und ein Einga- 
betastenblock TAS integriert. 

In Figur 2 ist das Chipkartenterminal CKT eine 
Einzeleinheit, die uber das Leitungssystem L mit 

25 dem Zentralrechner HOST verbunden ist. In Figur 
3 kann das Chipkartenterminal CKT sowohl eine 
Einzeleinheit, als auch eine Einheit sein, die ge- 
meinsam mit der Rechnerstation CPU im Terminal 
T integriert ist. 

30 In welcher raumlichen Form das Chipkartenter- 

minal CKT auch immer vorliegt - wichtig fur das 
erfindungsgemafie Verfahren ist die absolute Ver- 
trauenswurdigkeit der im Chipkartenterminal CKT 
implementierten Einheiten, namlich der Anzeigeein- 

35 heit DISP DISP und der Tastatur TAS. 

Das Ausfuhrungsbeispiel beschreibt die Chal- 
lenge and Response-Methode bei Verwendung von 
symmetrischen Verschlusselungsalgorithmen. Das 
erfindungsgemafle Verfahren ist jedoch ebenso mit 

40 asymmetrischen Verschlusselungsalgorithmen 
durchfuhrbar. Dazu mussen lediglich die verwende- 
ten Funktionen und die verwendeten Schlussel ent- 
sprechend den Anforderungen des asymmetri- 
schen Verschlusselungsverfahrens angepaflt wer- 

45 den. 

In Figur 1 sind links von einer strichpunktierten 
Linie die Verfahrensablaufe eingetragen, die in der 
Chipkarte CHK ablaufen, rechts der strichpunktier- 
ten Linie sind die Verfahrensablaufe dargestellt, die 

so im Terminal T, und dort insbesondere in einem 
Sicherheitsmodul ablaufen. Nach Verbinden der 
Chipkarte CHK mit dem Terminal T gibt ein Chip- 
kartenbenutzer mit Hilfe des terminalseitigen Ta- 
stenfeldes TAS eine Personenkennzahl PIN ein. 

55 Nach dieser Eingabe wird jede Anzeige auf der 
Anzeigeeinheit DISP des Terminals T verhindert. 
Die Personenkennzahl PIN wird zu Vergleichszwek- 
ken zur Chipkarte CHK ubertragen. Bei positivem 
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Vergleichsergebnis ubertragt die Chipkarte CHK 
ihre Chipkartenidentitatsnummer CID und ein die 
gewunschte Anwendung kennzeichnendes Applika- 
tionskommando ADF zum Terminal T. Im Terminal 
T wird mil Hilfe der empfangenen Daten, einem im 
Terminal T gespeicherten Schlussel K und eines 
Algorithmic FTW ein erster Terminalschlussel KT1 
errechnet. Dieser erste Terminalschlussel KT1 ent- 
spricht dem in der Chipkarte CHK gespeicherten 
ersten Chipkartenschlussel KC1. 

Im Terminal T wird eine erste Zufallszah! V1 
generiert und zur Chipkarte CHK ubertragen. So- 
wohl in der Chipkarte CHK als auch im Terminal T 
werden nun erste Anerkennungsparameter APC1, 
APT1 errechnet. Auf Seiten der Chipkarte CHK 
geschieht dies mit Hilfe der ersten Zufallszahl V1, 
des ersten Chipkartenschlussels KC1 und einer 
ersten Chipkartenfunktion FCX. Die erste Chipkar- 
tenfunktion FCX entspricht einer ersten Terminal- 
funktion FTX. 

Das Terminal T errechnet einen ersten Termi- 
nalanerkennungsparameter APT1 mit Hilfe der er- 
sten Zufallszahl V1 , des ersten Terminalschlussels 
KT1 und der ersten Terminalfunktion FTX. Der von 
der Chipkarte CHK errechnete erste Chipkartena- 
nerkennungsparameter APC1 wird zum Terminal T 
ubertragen und dort mit dem ersten Terminalaner- 
kennungsparameter APT1 verglichen. Bei negati- 
vem Vergleichsergebnis wird das Verfahren abge- 
brochen, da dann die Chipkarte CHK nicht authen- 
tisch ist. 

Bevor nun auch die Authentizitat des Terminals 
T gegenuber der Chipkarte CHK uberpruft wird, 
errechnet die Chipkarte CHK einen zweiten Chip- 
kartenschlussel KC2 und das Terminal T einen 
zweiten Terminalschlussel KT2. In der Chipkarte 
CHK erfolgt dies nach Ubertragen von dem Termi- 
nal T zugeordneten IdentitatskenngroBen ID an die 
Chipkarte CHK. Die Chipkarte CHK bildet aus den 
IdentitatskenngroBen ID und dem ersten Chipkar- 
tenschlussel KC1 mit Hilfe einer zweiten Chipkar- 
tenfunktion FCY den zweiten Chipkartenschlussel 
KC2. Das Terminal T bestimmt aus den Identitats- 
kenngroBen ID, dem ersten Terminalschlussel KT1 
und einer zweiten Terminalfunktion FTY den zwei- 
ten Terminalschlussel KT2. Die zweite Chipkarten- 
funktion FCY und die zweite Terminalfunktion FTY 
sind identisch. 

Die dem Terminal T zugeordneten Identitats- 
kenngroBen ID sind eine Sicherheitsidentitatskenn- 
groBe SID, eine TerminalidentitatskenngroGe TID 
und eine AnwendungsidentitatskenngroBe AID. Die 
SicherheitsidentitatskenngroBe SID bezeichnet ein- 
deutig ein bestimmtes Sicherheitsmodul. Die Ter- 
minnalidentitatskenngroBe TID bezeichnet eindeu- 
tig ein bestimmtes Terminal T. Ebenso bezeichnet 
die AnwendungsidentitatskenngroBe AID eindeutig 
eine bestimmte aktuell ablaufende Anwendung. Die 



zweiten Schlussel KC2, KT2 in der Chipkarte CHK 
und im Terminal T verandern sich demzufolge, 
wenn die Anwendung geandert wird, wenn ein an- 
deres Sicherheitsmodul ins Terminal T integriert 

5 wird, oder wenn eine Verbindung mit einem ande- 
ren Terminal T erfolgt. 

Bevor die IdentitatskenngroBe ID vom Terminal 
T zur Chipkarte CHK ubertragen wird, kann diese 
IdentitatskenngroBe ID mit Hilfe eines "Message 

70 Authentification Code" zusatzlich gesichert werden. 

Zur Authentifikation des Terminals T gegen- 
uber der Chipkarte CHK erzeugt nun die Chipkarte 
CHK eine zweite Zufallszahl V2 und ubertragt die- 
se zum Terminal T. Das Terminal T berechnet mit 

75 Hilfe einer dritten Terminalfunktion FTZ, des zwei- 
ten Terminalschlussels KT2 und der zweiten Zu- 
fallszahl V2 einen zweiten Terminalanerkennungs- 
parameter APT2 und ubertragt diesen zur Chipkar- 
te CHK. Die Chipkarte errechnet aus dem zweiten 

20 Chipkartenschlussel KC2, der zweiten Zufallszahl 
V2 und einer dritten Chipkartenfunktion FCZ einen 
zweiten Chipkartenanerkennungsparameter APC2. 
Die zweiten Anerkennungsparameter AP2 werden 
in der Chipkarte CHK verglichen. Bei positivem 

25 Vergleichsergebnis werden die Identitatskenngro- 
Ben ID von der Chipkarte CHK zum Terminal T 
ubertragen und mit Hilfe der Anzeigeeinheit DISP 
des Terminals T angezeigt. Diese Anzeige erfolgt 
in Form einer die IdentitatskenngroBen ID repra- 

30 sentierenden Information. Dieser Information - z.B. 
ein bestimmtes Wort - ist eindeutig das Tripel 
bestehend aus SicherheitsidentitatskenngroBe SID, 
TerminalidentitatskenngroBe TID und Anwendungs- 
identitatskenngroBe AID zugeordnet. Erkennt der 

35 Chipkartenbenutzer dieses Wort als richtig an, 
dann ist fur ihn das Terminal T objektiv authen- 
tisch. 

Die Bekanntgabe des Ergebnisses der Authen- 
tizitatsprufung kann jedoch auch unmittelbar durch 

40 die Chipkarte CHK erfolgen. Voraussetzung dafur 
ist, daB die Chipkarte uber eine Anzeigeeinheit 
DISP, wie z.B. Leuchtdioden, einen akustischen 
Signalgeber, der beispielsweise bestimmte Tonfol- 
gen abzugeben vermag oder eine Fiussigkristallan- 

45 zeige verfugt. 

Mit der Anzeige der die IdentitatskenngroBen 
ID reprasentierenden Information wird die Anzeige- 
einheit DISP wieder flir die Anzeige anderer Infor- 
mationen freigegeben. Ist eine Quittierung der an- 

50 gezeigten IdentitatskenngroBen ID durch den Chip- 
kartenbenutzer vorgesehen, dann erfolgt die Frei- 
gabe der Anzeigeeinheit DISP erst nach dieser 
Quittierung. 

55 Patentansprtiche 

1. Verfahren zur gegenseitigen Authentifikation ei- 
ner Chipkarte und eines Terminals mittels fol- 
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gender Schritte: 

- die Chipkarte ubertragt zuimindest eine 
Chipkartenidentifikationsnummer (CID) 
zum Terminal (T) 

- das Terminal (T) bestimmt aus der Chip- 5 
kartenidentifikationsnummer (CID) einen 
ersten Terminalschlussel (KT1 ) 

- die Chipkarte (CHK) bzw. das Terminal 
(T) berechnet aus einem ersten Chipkar- 
tenschlussel (KC1) bzw. dem ersten Ter- w 
minalschlussel (KT1) und einer ersten 
Zufallszahl (V1) mit Hilfe einer ersten 
Chipkartenfunktion (FCX) bzw. einer er- 
sten Terminalfunktion (FTX) einen ersten 
Chipkartenanerkennungsparameter 75 
(APC1) bzw. einen ersten Terminalaner- 
kennungsparameter (APT1) 

- die Chipkarte (CHK) ubertragt den ersten 
Chipkartenanerkennungsparameter 

(APC1) zum Terminal (T), wo die beiden 20 
ersten Anerkennungsparameter 
(APC1.APT1) miteinander verglichen 
werden 

- das Terminal (T) ubertragt bei positivem 
Vergleichsergebnis mindestens eine dem 25 
Terminal (T) zugeordnete Identitatskenn- 
grd/3e (ID) zur Chipkarte (CHK) 

- die Chipkarte (CHK) bzw. das Terminal 
(T) berechnet aus dem ersten Chipkar- 
tenschlussel (KC1) bzw. aus dem ersten 30 
Terminalschlussel (KT1) und der Identi- 
tatskenngroGe (ID) mit Hilfe einer zweiten 
Chipkartenfunktion (FCY) bzw. einer 
zweiten Terminalfunktion (FTY) einen 
zweiten Chipkartenschlussel (KC2) bzw. 35 
einen zweiten Terminalschlussel (KT2) 

- die Chipkarte (CHK) bzw. das Terminal 
(T) berechnet aus dem zweiten Chipkar- 
tenschlussel (KC2) bzw. aus dem zwei- 
ten Terminaischlussel (KT2) und einer 40 
zweiten Zufallszahl (V2) mit Hilfe einer 
dritten Chipkartenfunktion (FCZ) bzw. ei- 
ner dritten Terminalfunktion (FTZ) einen 
zweiten Chipkartenanerkennungsparame- 

ter (APC2) bzw. einen zweiten Terminala- 45 
nerkennungsparameter (APT2) 

- das Terminal (T) ubertragt den zweiten 
Terminalanerkennungsparameter (APT2) 
zur Chipkarte (CHK), wo die beiden zwei- 
ten Anerkennungsparameter 50 
(APC2,APT2) miteinander verglichen 
werden und 

- bei Ubereinstimmen der ersten und der 
zweiten Anerkennungsparameter (APC1, 
APT1 , APC2, APT2) werden die dem 55 
Terminal (T) zugeordneten Identitats- 
kenngroGen (ID) und/oder eine diese 
IdentitatskenngroGen (ID) reprasentieren- 



de Information optisch und/oder aku- 
stisch mit Hilfe einer Anzeigeeinheit 
(DISP) angezeigt. 

2. Verfahren nach Anspruch 1, 

dadurch gekennzeichnet, daG im Terminal 
(T) der erste Terminalschlussel (KT1) mit Hilfe 
eines Algorithmus (FTW) aus der Chipkarteni- 
dentifikationsnummer (CID) und einem SchJus- 
sel (K) berechnet wird. 

3. Verfahren nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, da!3 die Anzeige 
der IdentitatskenngroGen (ID) und/oder der die- 
se IdentitatskenngroGen (ID) reprasentierenden 
Information auf Seiten des Terminals (T), ins- 
besondere auf der Anzeigeeinheit (DISP) eines 
Chipkartenterminals (CKT), erfolgt. 

4. Verfahren nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, daG die Richtigkeit 
der angezeigten IdentitatskenngroGen (ID) 
und/oder der die IdentitatskenngroGen (ID) re- 
prasentierenden Information quittierbar ist. 

5. Verfahren nach einem der vorhergehenden An- 
spruche, 

bei dem vor einer Ubertragung der Chipkarte- 
nidentifikationsnummer (CID) zum Terminal (T) 
vom Terminal (T) eine von einem Chipkarten- 
benutzer in das Terminal (T), insbesondere in 
eine Tastatur (TAS) eines Chipkartenterminals 
(CKT), eingegebene Personenkennzahl (PIN) 
zu einem Vergleich zur Chipkarte (CHK) uber- 
tragen wird, 

dadurch gekennzeichnet, daG mit der Uber- 
tragung bzw. der Eingabe der Personenkenn- 
zahl (PIN) jegliche Anzeige der Anzeigeeinheit 
(DISP) auf Seiten des Terminals (T) , insbe- 
sondere des Chipkartenterminals (CKT), ver- 
hindert wird und daG nach Anzeige der Ideniti- 
atskenngroGen (ID) und/oder der diese Identi- 
tatskenngroGen (ID) reprasentierenden Infor- 
mation die Verhinderung der Anzeige auf Sei- 
ten des Terminals (T) aufgehoben wird. 

6. Verfahren nach Anspruch 5, dadurch gekenn- 
zeichnet, daG erst nach Quittieren der Richtig- 
keit der angezeigten IdentitatskenngroGen (ID) 
und/oder der die IdentitatskenngroGen (ID) re- 
prasentierenden Information die Verhinderung 
der Anzeige auf Seiten des Terminals (T), ins- 
besondere des Chipkartenterminals (CKT), auf- 
gehoben wird. 
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7. Verfahren nach einem der vorhergehenden An- 
spruche. dadurch gekennzeichnet, daB im 
Terminal (T) ein Sicherheitsmodul integriert ist, 
dessen SicherheitsidentitatskenngroBe (S!D) 
gemeinsam mit einer Terminalidentitatskenn- 5 
groBe (TID) zur Chipkarte ubertragen wird. 

8. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB ge- 
meinsam mit der Sicherheitsidentitatskenngro- w 
Be (SID) und der TerminalidentitatskenngroBe 
(TID) eine AnwendungsidentitatskenngroBe 
(AID) zur Chipkarte (CHK) ubertragen wird. 

9. Verfahren nach einem der Anspruche 4 bis 8, 75 
dadurch gekennzeichnet, daB die zwischen 
Chipkarte (CHK) und Terminal (T) auszutau- 
schenden Daten uber ein zwischen Chipkarte 
(CHK) und Terminal (T) angeordnetes Chipkar- 
tenterminal (CKT) geleitet werden, daB die 20 
dem Terminal (T) zugeordneten Identitatskenn- 
groBen (ID) und/oder eine diese Identitatskenn- 
grdBen (ID) reprasentierende Information mit 
Hilfe der auf dem Chipkartenterminal (CKT) 
angeordneten Anzeigeeinheit (DISP) angezeigt 25 
werden und daB die Anzeige durch eine benut- 
zerseitige Betatigung einer auf dem Chipkar- 
tenterminal (CKT) angeordneten Tastatur (TAS) 
quittiert wird. 

30 

10. Verfahren nach einem der Anspruche 5 bis 9, 
dadurch gekennzeichnet, daB vor jeder ge- 
genseitigen Authentifikation der Chipkarte 
(CHK) und des Terminals (T) eine Uberprufung 

der eingegebenen Personenkennzahl (PIN) er- 35 
folgt. 
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